1、2022年中国容器安全市场报告2022 China Continer Security Market Report2022年中国市場报告标签:容器集群安全、镜像安全、运行时安全、容器隔离沙利文市场研读|云安全产业报告提供的任何内容(包括但不限于数据、文字、图表、图像等)均系弗若斯特沙利文及头豹研究院独有的高度机密性文件(在报告中另行标明出处者除外)。未经弗若斯特沙利文及头豹研究院事先书面许可,任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容,若有违反上述约定的行为发生,弗若斯特沙利文及头豹研究院保留采取法律措施、追究相关人员责任的权利。弗若斯特沙利文及头豹研究院开展的
2、所有商业活动均使用“弗若斯特沙利文”、“沙利文”、“头豹研究院”或“头豹”的商号、商标,弗若斯特沙利文及头豹研究院无任何前述名称之外的其他分支机构,也未授权或聘用其他任何第三方代表弗若斯特沙利文或头豹研究院开展商业活动。中国:网络安全系列沙利文市场研读容器安全的建设仍处于起步爬坡阶段,需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题,传统的安全防护手段已经难以适配云原生环境。01容器安全防护的挑战02容器运行时防护方案点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全生命周期和全架构层次的容器安全体系框架
3、。概览说明沙利文谨此发布中国容器安全系列报告之2022年中国容器安全市场报告年度报告。本报告旨在梳理梳理容器安全领域产品及服务形态,洞悉用户特点、市场存量空间及增量空间,并结合市场发展前景判断中国容器安全市场各类竞争者所处地位。2022年第四季度,沙利文联合头豹研究院对容器安全核心产品进行了下游用户体验调查。根据下游用户调研反馈、行业专家见解及供应商专题交流,融合多维视角,输出分析成果。本市场报告提供的容器安全趋势分析亦反映出容器安全行业整体的动向。本研究结果将通过增长指数体现竞争者维持现有市场地位的能力,通过创新指数体现竞争者进一步提高市场地位的能力。报告最终对市场排名、领导者的判断仅适用于
4、本年度中国容器安全发展周期。本报告所有图、表、文字中的数据均源自弗若斯特沙利文咨询(中国)及头豹研究院调查,数据均采用四舍五入,小数计一位。03镜像仓库安全方案容器、镜像、镜像仓库是容器技术安全的三大核心组件。镜像仓库安全是构筑全生命周期的容器安全核心之一,其中包括版本可信、连接安全、认证和授权安全等层面。04产品形态发展方向容器安全防护体系需覆盖容器技术的全生命周期,针对容器规划、安装、配置、部署、运维、处置等不同阶段,设置相应的动态应用策略。中国:网络安全系列沙利文市场研读3容器架构风险与安全挑战概述-5 容器架构的原生安全性 容器安全威胁与风险 容器安全防护的挑战容器安全技术发展综述-1
5、1 容器安全防护架构体系 容器运行时防护方案 容器仓库安全方案中国容器安全市场发展趋势-15 核心特征发展方向 产品形态发展方向中国容器安全市场竞争态势-18 容器安全竞争力评价维度 容器安全综合竞争力表现 领导者:青藤云安全 领导者:腾讯安全 领导者:小佑科技 领导者:博云名词解释-29方法论-30法律声明-31研究框架China:Container Security SeriesFrost&Sullivan Market Insight4CONTENTSOverview of container structure risks and security challenges-5 Nativ
6、e security feature of container Container security threats and risks Challenges of container security protectionOverview of the development of container security technique-11 Container security protection structure Protection scheme during container operation Container warehouse security planDevelop
7、ment trend of container security market in China-15 Development direction of core feature Development direction of product formcompetitive landscape of container security market in China-18 Assessment scoring Comprehensive vendor assessment Frost Radar Leading competitor:Qingteng Leading competitor:
8、Tencent Leading competitor:DOSEC Leading competitor:BoCloudTerms-29Methodology-30Legal Statement-315容器架构的原生安全性容器的安全威胁与风险容器安全防护的挑战Chap 1容器架构风险与安全挑战概述中国:网络安全系列沙利文市场研读6容器架构的原生安全性如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来的安全代价,是容器安全赛道中的各厂商竞相追逐的目标。虚拟机与容器虚拟机架构是从操作系统层开始建立一个可以用来执行整套操作系统的沙盒独立执行环境。容器架构是直接将一个应用程序所需的相
9、关程序代码、函式库、环境配置文件都打包起来建立沙盒执行环境,通过“打包”和“标准化”的理念凸显对“可移植性”、“敏捷”和“弹性”的需求导向。隔离程度在虚拟机中的每个应用都拥有独立的内核,具备软件层完全隔离的优势。在容器中的每个应用都是共享宿主机的内核的,仅具备进程级隔离,配置环境的不细致会让容器直接地与其他容器发生交互。容器安全虚拟机和容器代表了两种需求,兴一利必生一弊:虽然容器在轻量化方向优势显著,但其代价则是由于资源隔离的不彻底和“打包”服务限制的数据可见性而带来的原生安全隐患。在如今云原生体系向行业的不断渗透的趋势中,如何帮助企业尽可能获得使用容器等技术带来的价值,并且降低使用容器而带来
10、的安全代价,正是容器安全赛道中的各厂商竞相追逐的目标。面向不同虚拟环境的架构定义物理服务器操作系统环境配置程序代码应用操作系统环境配置程序代码虚拟机封装物理服务器应用应用应用环境配置程序代码容器封装物理服务器操作系统应用应用应用应用应用独立地基、独立大门一栋楼一户人家独栋别墅共享地基、共享大门一栋楼多套房、一套房一户人家独立卫生间、独立厨房、独立宽带公寓大楼共享地基、共享大门一套房多个隔间、一个隔间一位租户共享卫生间、共享厨房、共享宽带胶囊旅馆理解传统物理机架构容器架构虚拟机架构来源:头豹研究院中国:网络安全系列沙利文市场研读7镜像仓库风险:信息泄露 恶意程序 镜像篡改 植入后门 高危漏洞集群
11、风险:网络控制 租户隔离 凭证泄漏 节点可信 组件漏洞代码风险:恶意代码账号风险:账号AK泄露主机风险:内核漏洞 组件漏洞 资源访问控制和限制容器风险:容器逃逸 恶意入侵 网络攻击 木马挖矿应用风险:不可信应用源 旧版本 应用漏洞 应用入侵容器的安全威胁与风险容器的安全保障需要同时应对来自主机层、Docker层、容器层和应用层的攻击面威胁。对于企业和安全厂商而言,充分了解容器环境和攻击状况,是建立防御体系的第一步。容器的运行机制、构成结构与风险来源运行状态Running停止状态Stopped暂停状态Pausedstart容器 Containercommitpushpullrestartstar
12、tkillunpausepause服务端Docker Daemon主机 Docker Host用户端Client镜像仓库RegistryK8s&镜像集群应用1submit23456123456来源:Docker、腾讯安全、成都信息工程大学、Cloudman,头豹研究院传统云安全风险主机操作系统层风险容器集群风险镜像和仓库风险应用风险容器风险应用A应用BBins/LibsBins/Libs应用CBins/Libs容器引擎(Docker Daemon)主机操作系统(Host、内核、Shell)基础设施(服务器/云主机)容器#1容器#2容器#3容器安全对容器的运行机制和容器架构的组成分别展开解析,与
13、传统平台相比,容器生态系统涉及的组件、工具和代码通道更多,容器用户需要确保具有专门构建的全栈安全性,以解决容器化应用程序在构建、部署和运行的安全要求。同时,容器的快速广泛采用也创造了一个“安全左移”的机会,保护容器从开发到 CI/CD 管道再到运行时,并在开发和安全团队之间架起桥梁。中国:网络安全系列沙利文市场研读8来源:MITRE、阿里云、Azure、腾讯安全、青藤云安全,头豹研究院,沙利文容器与镜像ATT&CK攻防对抗知识库初始入侵 Initial Access下发指令 Execution持久控制 Persistence权限提升 Privilege Escalation躲避防御 Defen
14、se Evasion窃取凭证 Credential Access探测信息 Discovery横向移动 Lateral Movement破坏目标 Impact 云账号AK泄露 使用恶意镜像 K8s API Server未授权访问 K8s configfile 泄露 Docker Daemon公网暴露 容器内应用漏洞入侵 主节点SSH登陆凭证泄露 私有镜像库暴露 Dashboard暴露 通过kubectl进入容器 创建后门容器 通过K8s控制器部署后门容器 利用Service Account连接APIServer执行指令 带有SSH服务的容器 通过CloudShell下发指令 Bash/cmd 命
15、令行执行脚本 部署远控用户端 可写挂载目录hostPath K8s cronjob持久化 在私有镜像库的镜像中植入后门修改核心组件访问权限 添加创建账户 冒充正常镜像签名 部署计划任务 部署特权容器 集群binding添加用户权限 利用挂载目录逃逸 访问云资源 利用Linux内核漏洞逃逸 利用Docker漏洞逃逸 利用K8s漏洞进行提权 容器内访问docker.sock逃逸 利用Linux Capabilities逃逸 Host命名空间、Cgroups滥用 容器及宿主机日志清理 K8s Audit日志清理 利用系统Pod名称伪装 利用路径伪装 通过代理或匿名网络访问K8sAPI Server
16、卸载安全产品Agent 创建影子API Server 创建超长annotations使K8sAudit日志解析失败 K8s Secret泄露 云产品AK泄露 K8s Service Account凭证泄露 容器API凭证泄露 应用层API凭证泄露 利用K8s准入控制器窃取信息 窃取应用凭证配置文件 访问K8s API Server 访问Kubelet API Cluster内网扫描 访问K8s Dashboard所在Pod 访问私有镜像库 访问云厂商服务接口 通过NodePort访问Service 实例元数据API 窃取凭证攻击云服务 窃取凭证攻击其他应用 通过Service Account访
17、问K8sAPI Cluster内网渗透 通过挂载目录逃逸到宿主机 访问K8s Dashboard 攻击第三方K8s插件 访问Tiller endpoint 破坏系统及数据 劫持资源 DoS攻击 加密勒索对外漏洞远程服务投毒镜像账户泄露容器服务创建后门脚本RCE挂载Host冒充镜像计划服务创建账号账号泄露API凭证配置文件名称伪装路径伪装卸载杀软日志清理容器逃逸漏洞账号权限挂载目录数据破坏资源劫持拒绝服务云资源内网渗透宿主机K8s组件Kubelet API内网扫描私有镜像库元数据API中国:网络安全系列沙利文市场研读9来源:MITRE、安全狗,头豹研究院从容器ATT&CK看模拟攻击路线初始入侵
18、Initial Access下发指令 Execution持久控制 Persistence权限提升 Privilege Escalation躲避防御 Defense Evasion窃取凭证 Credential Access探测信息 Discovery横向移动 Lateral Movement破坏目标 Impact对外漏洞远程服务投毒镜像账户泄露容器服务创建后门脚本RCE挂载Host冒充镜像计划服务创建账号账号泄露API凭证配置文件名称伪装路径伪装卸载杀软日志清理容器逃逸漏洞挂载目录账号权限数据破坏资源劫持拒绝服务云资源内网渗透宿主机K8s组件Kubelet API内网扫描私有镜像库元数据API
19、12234675 一种容器攻击路线1.首先攻击者发现K8s暴露在外的微服务开始渗透,利用容器内的应用漏洞入侵并成功获取到容器的shell。2.然后探测内网环境,进行Cluster内网的扫描,探测存活主机和存活主机开放的端口,以此可以确定K8s集群对外暴露的微服务。扫描还可以得到Pod的IP,条件允许的话可以直接在容器内利用。3.通过扫描开放的组件的默认端口,进而发现K8s的未授权访问,在获取到shell的容器内利用kubectl用户端操纵K8s资源。4.利用K8s的未授权访问创建后门容器。5.从挂载宿主机目录并向宿主机目录写入定时的反弹shell任务。6.通过挂载目录逃逸到宿主机完成主机的横向
20、移动。7.最后利用K8s cronjob进行持久化控制。容器与镜像ATT&CK攻防对抗知识库ATT&CK(Adversarial Tactics,Techniques,and Common Knowledge)是一个攻击行为知识库和威胁建模模型。容器与镜像ATT&CK覆盖了K8s编排层、Docker容器层和应用层的攻击行为,还包括了容器相关的恶意软件威胁。对于企业和安全厂商而言,充分了解容器环境和攻击状况,是建立防御体系的第一步。企业用户,利用容器ATT&CK模拟红蓝对抗,有助于了解K8s中的安全风险和关键攻击媒介,并且基于此有助于制定正确的检测和缓解策略来应对这些风险,提供全面的保护。中国:
21、网络安全系列沙利文市场研读10容器安全防护的挑战容器安全的建设仍处于起步爬坡阶段,需要克服新旧双重威胁存在未知风险、普遍的镜像漏洞、数据的低可观测性等难题,传统的安全防护手段已经难以适配云原生环境。容器安全的难题和挑战从容器的攻击路径中可以体现,针对容器可选择的攻击面和攻击手段十分广泛,同时通过横向移动可以轻松扩大入侵价值。相较于攻击视角的“低门槛高收益”的特性,容器在安全防守的视角中却是“荆棘载途”。容器安全的建设仍处于起步爬坡阶段,需要克服几大难题:1.新旧双重威胁,未知风险。包括漏洞利用、暴力破解、权限提升在内的传统攻击手段对容器一样奏效。同时,云原生使用的一系列技术也意味着容器存在大量
22、未知的风险隐患,黑客也不断衍生出新的攻击手段,如投毒镜像、容器逃逸、集群API调用等,容器防护需要为容器环境创新定制专门的防御策略。2.镜像漏洞普遍。由于镜像的本质是静态存档文件,容器必须在上游的镜像中进行更新并重新部署。容器环境常见风险是使用的镜像版本存在漏洞而使部署的容器存在漏洞。Docker Hub中的镜像普遍存在不同程度的漏洞,这些有安全隐患的漏洞都有可能被恶意利用。3.数据可观测性低,攻击溯源难。容器的生命周期短,动态变化快,超过50%容器从上线到下架的整个生命周期不超过1天。同时容器的轻量化部署原理也使主机上的可以承载上百个容器的同时运行,集群内部的网络流量和通信端口总量大幅增加。
23、容器化环境的容器应用部署密度和容器变化频率都远高于传统环境,攻击威胁的检测、追踪和溯源的难度显著。无漏洞镜像20%存在低风险漏洞的镜像4%存在中风险漏洞的镜像存在高危漏洞的镜像51%含有恶意软件或病毒的镜像0.16%其他12%镜像数拉取数其他Windows恶意软件flatmap流黑客工具加密货币矿工Docker中镜像的漏洞风险现况与恶意镜像构成来源:Prevasio,Docker,头豹研究院11容器安全防护架构体系容器运行时防护方案镜像仓库安全方案Chap 2容器安全技术发展综述中国:网络安全系列沙利文市场研读12 从攻击视角到防御视角容器安全体系的建立,最初是攻防映射的点对点关系,常见攻防视
24、角有:针对镜像漏洞/应用漏洞的攻击。防守方可以通过基于版本与漏洞库的比对完成基于镜像的漏洞扫描。利用暴露的K8s配置或账号发起入侵。防守方可以通过针对主流的攻击场景进行检测识别,同时关注账号安全层面的异常状况。容器逃逸会对容器集群有很大的危害。防守方可以通过对攻击场景的理解建立黑白名单完成运行时监测。点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全生命周期和全架构层次的容器安全体系框架。可观测容器安全防护架构体系点对点的攻防映射在攻防演练和实践中逐渐训练出容器安全的防守技术网,但要满足用户的容器安全需求,需要构建覆盖容器使用全
25、生命周期和全架构层次的容器安全体系框架。全生命周期和全架构的容器安全体系容器安全的攻防视角来源:火山引擎、NeuVector、腾讯安全、青藤云安全,头豹研究院,沙利文容器运行时容器网络容器环境软件供应链安全运行时安全工作负载安全基础设施安全镜像仓库安全通信镜像阻断镜像扫描镜像签名镜像加固宿主机安全零信任网络安全网络隔离访问控制容器逃逸检测进程异常检测反弹Shell检测API网关安全配置检查加固身份管理权限管理融合微隔离漏洞扫描和修复DevSecOps代码审计代码分析代码加固依赖加固DevOps集成态势监控宿主机内核安全宿主机网络安全入侵检测持续检测准入控制Docker Dameon访问控制K8
26、s日志审计性能监控链路追踪观测构建部署运行攻击视角防守视角镜像漏洞/应用漏洞K8s账号权限或配置容器逃逸基于镜像的漏洞扫描K8s的重点检测对象运行时检测中国:网络安全系列沙利文市场研读13关于容器运行时安全体系的建立,防守策略可以从攻守视角拆分:攻击方视角中应用行为监测机制实时检测攻击方的扫描、暴力破解、反弹shell、提权、Web后门、异常链接、挂马等攻击行为;防守方视角中建立文件操作、网络访问、系统调用、资产画像等基线,用以缩小攻击面。完备运行时监控、运行时权限配置、容器集群隔离、微隔离等功能模块的正常运行预防攻击的发生。来源:头豹研究院,沙利文容器运行时威胁防护安全策略的主流基础策略和创
27、新策略容器运行时防护方案容器运行时安全是容器安全与传统安全相比最考验安全供应商在面对容器环境威胁如何提供创新有效产品技术的方面。其中包含了运行时监控、容器集群隔离、融合微隔离、运行时权限配置、持续开发和部署等基础能力。容器运行时安全监控隔离权限配置CI/CD基础策略创新策略中国:网络安全系列沙利文市场研读14镜像仓库安全方案容器、镜像、镜像仓库是容器技术安全的三大核心组件。镜像仓库安全是构筑全生命周期的容器安全核心之一,其中包括版本可信、连接安全、认证和授权安全等层面。镜像安全中层镜像层,主要包含上层程序的代码和运行程序所需的系统环境,容器要运行需要先构建镜像,镜像定义了容器运行的内容和运行程
28、序所需的系统环境,包含软件包、版本号等,容器的镜像安全直接关乎容器的安全运行。容器安全对基础镜像提供的安全验证手段通常已经包括镜像软件漏洞扫描、镜像中病毒扫描、镜像敏感信息扫描、镜像配置合规扫描等方面。容器基础架构与镜像的作用来源:Docker,头豹研究院Kernel 内核BusyBox基础镜像可读写容器Debian 基础镜像Emacs前端镜像Apache服务镜像可读写容器 镜像仓库的安全诉求Docker Hub由于免费开源的特性,长期是存储镜像的主流选择,但由于有限的存储空间、有限的上传/拉取速度,加之作为公有云服务器不适合上传企业内部的敏感开发项目代码,越来越多的企业用户正在基于Regis
29、try构建私有镜像仓库。虽然使用Registry使容器用户可以在全面管理控制镜像的存储、分配,紧密集成到内部开发流程等方面获得优势,但是对镜像仓库的安全性保障却面临更高的挑战。在Registry 1.0代版本中,用户可以随意篡改Layer中的文件,尽管Docker Registry2.0版本也在安全性上做了诸多优化,但依然需要警惕安全性。镜像仓库的安全策略风险来源安全关键镜像仓库安全方案镜像仓库中的镜像过时镜像仓库的认证和授权限制不足与镜像仓库的连接不安全及时对镜像的版本、漏洞作相应的更新、补丁;镜像本身的安全可信提供漏洞视角,具备补丁整合能力针对补丁平均时延:4小时-1天进行镜像签名认证,对
30、非签名镜像阻断运行。使用全局唯一名称和唯一摘要,避免标签覆盖。访问镜像仓库的身份认证和操作授权访问镜像仓库的身份认证和操作授权加密信道,对开发工具、编排工具和容器运行时配置只通过可信端点向镜像仓库连接,并加密传输(TLS)。来源:青藤云安全,头豹研究院、沙利文对镜像仓库的可写入访问都要求身份验证;漏洞扫描和合规性评估持续集成到流程中;审计访问权限;日志记录对敏感镜像的任何操作。15核心特征发展方向产品形态发展方向Chap 3中国容器安全市场发展趋势中国:网络安全系列沙利文市场研读16核心特征发展方向受共享内核特点的影响,容器在多租户场景的应用存在诸多安全风险,未来需要服务商通过细化隔离层级、拓
31、展隔离维度等方式,确保容器在不同应用模式下实现用户资产安全性。隔离性升级确保容器安全性共享内核的特征使得容器技术在安全性方面存在缺陷,容器应用场景因此受到限制。云原生产品更多应用于单租户场景,在多租户模式下,容器特征无法确保运行时隔离、网络隔离、镜像隔离等安全性。隔离颗粒度进一步细化,隔离层深化容器应用安全涉及运行时隔离、镜像隔离、网络隔离、磁盘存储隔离等;为细化和深化隔离程度,服务商可通过提供网络策略隔离、存储隔离、镜像引用隔离等模式确保容器用户资产安全性。此外,容器技术栈与开源安全工具的融合应用将有效提升隔离策略在网络、镜像、存储等层面的渗透和协同。来源:CSDN,头豹研究院容器生态技术栈
32、与开源安全工具容器存储Heketi+GlusterFS、Rook+CephDocker、RuncContainerd、CRI-OPodman、gVisorKata Container、FunV容器管理器容器网络Flannel、OVS/OVN、Calico、Cilium容器界面Dashboard服务网格Istio容器编排K8s调度器资源CRD控制器伸缩指标设备管理企业级容器平台Openshift容器虚拟化KubeVirtK3sKubeEdgeCNICRICSIAPI容器仓库Docker Hub、Harbor、QuayAPI轻量化平台化基线扫描工具Docker BenchKube BenchK8s
33、安全审计工具Kube-bench、Kube-hunter、Kubeaudit、Kubesec、Grafeas、Chef InSpec密钥管理Vault、CyberArk ConjurHashingCorp Vault镜像签名工具Docker Notary、Portieris容器运行态安全Falco网络安全工具Aporeto、Weave、Tigera编排安全工具K8s Security Context内核安全工具Namespace、Selinux、Cgroup、AppArmor、Seccomp容器技术生态的发展历程Chroot Chroot JallJall1979TheThe FreeBSD
34、FreeBSD JallJall2000Linux Linux VServerVServer2001Oracle Solaris Oracle Solaris ContanersContaners2004OpenVZOpenVZ2005Process Process ContainersContainers(CgroupsCgroups)2007Linux ContainerLinux Container(LXC)(LXC)20082013WardenWardenDockerDocker2014LMCTFYLMCTFYRocketRocketRuntimesOCI ContainerdRunC
35、MoblPodmanCRI-O来源:FAUN,头豹研究院2019中国:网络安全系列沙利文市场研读17产品形态发展方向容器安全防护体系需覆盖容器技术的全生命周期,针对容器规划、安装、配置、部署、运维、处置等不同阶段,设置相应的动态应用策略。来源:头豹研究院 容器生命周期安全在对用户使用容器体验的调研中,90%以上的用户表达了对容器安全性天生存在缺陷的担忧,容器应用场景受到限制。容器与的宿主机共享内核,且容器技术本身建立在Linux Namespace和Linux Cgroups两项关键技术之上,而Linux内核本身所产生的漏洞会导致容器逃逸。容器运行时,攻击者可通过恶意镜像和修改容器配置入侵容器
36、。在容器的配置、部署和运维等不同阶段,实际业务线具有针对性的需求,安全规划需渗透容器运行全生命周期。安全性难以满足技术复杂度高技术支持力度不足监测系统不完善网络、存储方案选型适配困难日志系统不完善其他用户使用容器技术时存在的问题潜在问题对应策略研究阶段传统开发和安全策略不适用于容器结合容器的特点,对事件响应取证、漏洞管理策略规划等进行调整设计阶段路径检查未覆盖文件和数据容器环境下,在对事件做出响应时,通过特定存储供应商进行内容的离线检查测试和部署阶段缺乏内省能力,隔离性不足于部署前查验身份、连接、应用、管理、技术的安全性,对传统安全控制和技术配置进行调整运维阶段事件响应计划未同步,管理策略不适
37、用确保容器运行团队充分了解自身在事件响应计划中的位置;掌握容器所有者和敏感度级别,集成相关数据处置阶段容器部署和运行记录难以保存、取证对容器和镜像的销毁进行规划,完成处置前数据提取、容器撤销或删除行为容器全生命周期安全解决方案案例:青藤云安全基于宿主机Agent开发解决方案1、构建阶段容器编码阶段带入安全思维,实现源头控制;利用代码审计工具检测漏洞;通过精简和加固镜像的方式减少攻击面;在投产前对镜像进行漏洞扫描,并且对镜像仓库采取周期性扫描措施。2、分发阶段(a)传输中防篡改:通过设置多重签名、进行镜像校验等方式确保镜像未被篡改;(b)访问控制:镜像仓库、编排工具等模块集成在统一认证平台中(如
38、LDAP);(c)镜像使用习惯:避免使用未漏扫、未加固的镜像。3、运行阶段(a)运行时环境安全:确保运行时安全配置、Docker安全配置;(b)持续性安全:确保网络与容器连接安全,网络连接加密、周期性入侵检测、运行时进行漏扫、恶意容器隔离等。容器全生命周期安全因素考虑及安全规划*18容器安全竞争力评价维度容器安全综合竞争力表现领导者:青藤云安全领导者:腾讯安全领导者:小佑科技领导者:博云Chap 4中国容器安全市场竞争态势中国:网络安全系列沙利文市场研读19增长指数一级指标二级指标指标要点容器宿主机安全用户身份识别及鉴权授权衡量容器环境下各类账号及权限管理有效性,动态授权机制下风险抵御力容器防
39、护目录及文件配置判断容器安全防护程序可覆盖的目录或文件范围,衡量审计有效性容器集群安全访问及工作负载控制衡量对相关API、组件的访问联动性,考察相关业务功能的使用效率容器集群防护组件判断防护组件的多样性、覆盖面和扩展性,以及对第三方组件的兼容性容器软件安全容器逃逸防护策略判断对不同类型容器逃逸攻击的防护效力,以及从设计层解决逃逸的能力高危漏洞处理策略针对软件运行及版本迭代过程中对高危漏洞所设置解决方案的有效性容器镜像安全镜像架构安全水平判断对基础镜像架构中漏洞扫描及修复能力以及构建过程中风险处置能力镜像仓库安全水平判断镜像仓库在网络使用、校验、身份鉴权、审计等方面的防护效力19本报告设立增长指
40、数及创新指数,增长象限判断容器安全在基础构成方面的防护能力,创新象限判断运行时安全、云原生和市场表现力等评价维度说明创新指数一级指标二级指标指标要点容器运行时安全态势运行时威胁防护衡量容器运行时,针对操作系统和应用程序可能面对的威胁提供防护的效率运行时权限配置判断容器运行时各类权限配置策略有效性,以及各出口流量安全性云原生能力融合微隔离判断容器安全解决方案是否存在与微隔离技术的应用联动和融合持续开发和部署判断供应商在容器安全领域是否具备持续开发和部署的能力市场表现力第三方认可度判断第三方认证机构对供应商容器安全服务的认可度用户体验友好度判断供应商持续提升用户体验并持续优化使用便易度的能力中国:
41、网络安全系列沙利文市场研读2020中国容器安全市场竞争态势处于持续变化的阶段,本报告根据竞争主体在创新能力及增长能力两个维度的综合表现决定供应商所属梯队综合竞争表现中国容器安全市场形态处于持续变化的过程中,尚未进入成熟阶段,本报告对参选供应商在容器安全市场的综合竞争力分析结论仅适用于该阶段中国容器安全市场发展情况。沙利文将持续关注中国容器安全市场,分析供应商竞争力变化情况。注:领导者象限圆环按由内向外递增的逻辑对应由低至高的评分,综合竞争力评分由“创新指数”以及“增长指数”综合得出中国容器安全服务综合竞争表现Frost Radar(弗若斯特雷达)纵坐标代表“增长指数”:衡量竞争主体容器安全产品
42、在基础功能成长、基础性能提升、市场拓展能力等方面的竞争力,位置越靠上方,竞争主体在容器安全市场的增长能力越强。横坐标代表“创新指数”:衡量竞争主体在容器安全领域的创新能力,位置越靠右侧,供应商在功能拓新、技术纳新、理念革新等方面的能力越强。高低高创新指数增长指数低领导者象限增长者象限创新者象限挑战者象限安易科技青藤云安全腾讯安全博云山石网科默安科技华讯网络网宿科技小佑科技中国:网络安全系列沙利文市场研读400-072-558821领导者:青藤云安全青藤蜂巢云原生安全平台青藤蜂巢是青藤自主研发的云原生安全平台,支持安全能力与云原生复杂多变环境的平滑集成,如集成于Kubernetes、PaaS云平
43、台、OpenShift、Jenkins、Harbor、JFrog等环境。通过提供覆盖全生命周期的一站式容器安全解决方案,青藤蜂巢构建容器安全预测、防御、检测和响应的安全闭环。青藤蜂巢容器安全平台服务架构及服务优势特征 安全积累提供底层支撑230万+行自研代码,均经过严格SDL审核 云原生能力快速进阶云原生化部署,业务功能设计贴合云原生特点青藤“一二四”云原生安全框架,在实战化思想下创新而来,遵循1个体系(DevOps),聚焦2个方向(DEV-Build time、OPS-Run time),立足4个环节(安全开发、安全测试、安全管理、安全运营),覆盖容器安全整个生命周期。在开发(Dev)阶段,
44、遵循“安全左移”原则,做到上线即安全。情报落地存储,支持吸收三方情报或通过API网关对接三方SaaS接口,内置情报全生命周期管理。在运行(Ops)阶段,遵循“持续监控&响应”原则,做到自适应安全。在整体安全落地时,青藤蜂巢会进行云原生安全的全生命周期管理,包括工作负载清点与可视化、微隔离、入侵检测、安全响应、溯源分析等。容器全生命周期安全策略覆盖覆盖容器全生命周期,实现业务上线即安全。安全前置理念实践自动化、可视化网络拓扑展示,融合企业环境的安全左移解决方案,精准先进的入侵检测。“一个体系、两个方向、四个环节”代码部署运营构建测试监控DEV构建时OPS运行时SEC+SEC+上线即安全(安全左移
45、)+完全自适应(持续监控&响应)安全开发威胁管理SCASAST 安全管控资产清点风险检测微隔离WAF/RASP 安全测试镜像安全AST合规检查安全验证渗透测试 安全运营入侵检测安全响应溯源分析威胁狩猎来源:青藤云安全,头豹研究院中国:网络安全系列沙利文市场研读400-072-558822青藤云安全2022年度容器安全Frost Radar排名说明青藤云安全在2022年度容器安全Frost Radar中增长指数排名第一青藤云安全在2022年度容器安全Frost Radar中创新指数排名第二青藤云安全在增长指数排名第一,在以下指标项得分最高:青藤云安全在创新指数排名第二,在以下指标项得分最高:青藤
46、云安全在容器集群编排管理安全方面得分最高:o青藤云安全通过提升默认配置安全性、管理权限升级流程、迅速发现代码注入漏洞等方面的措施,让用户在体验容器集群可扩展性、管理便捷性之余,确保集群安全性,并在容器的全生命周期中渗透安全防护策略和管理方法。青藤云安全在容器环境安全构建方面得分最高:o青藤云安全通过对Docker引擎、Docker等容器平台工具、编排源代码、容器镜像仓库等提供多元验证措施和安全测试策略,降低用户在容器构建过程中遭遇错误脚本配置、错误源代码、错误库配置等风险,大幅减少恶意代码植入的威胁。青藤云安全在镜像安全验证和补丁管理能力得分最高:o青藤云安全通过对多源头基础镜像进行泛化验证、
47、实时查验基础镜像安全配置和运行状态,并为基础镜像安全问题迅速提供修复、补丁、维护等方案,优化镜像验证效果。青藤云安全在容器漏洞管理和漏洞分析能力得分最高:o青藤云安全持续提升自研的青藤雷火AI Webshell检测引擎自动化分析效率,针对容器漏洞信息搭建并优化情报库,依托沙箱分析等工具,对容器漏洞进行分时分类的梯级告警。青藤云安全在容器运行时监控和安全检测得分最高:o青藤云安全通过创新策略对容器集群层间攻击进行检测,依托机器学习算法对告警进行关联处置、构建并最大化还原攻击链路图,有效应对容器无文件攻击、恶意镜像攻击等。青藤云安全在容器运行时隔离能力得分最高:o青藤云安全基于容器集群自身netw
48、orkpolicy结构下发隔离策略并助力用户梳理业务关系,支持对市面上所有K8s的CNI插件的兼容,并依托访问关系帮助用户自动生成安全管理策略,支持策略的模拟下发,降低用户侧策略设置成本。青藤云安全在市场影响力整体得分最高:o青藤云安全在容器安全领域获取包括“云原生安全实验测试床”、云原生安全成熟度标准制定、云原生安全产业联盟认证等多项资质认证成果。在不同体量、不同领域用户侧持续探索贴合业务的容器安全解决方案。中国:网络安全系列沙利文市场研读400-072-558823领导者:腾讯安全容器安全服务(TCSS)腾讯云容器安全覆盖资产管理、镜像安全、集群安全、安全基线、运行时安全、容器网络等6大板
49、块,保障容器从镜像生成、存储到运行时的全生命周期,帮助企业构建容器安全防护体系。TCSS充分融合腾讯安全在威胁情报、漏洞防御、态度感知等方面的积淀,同时结合腾讯内部数千万核容器业务的实战经验,助力企业有效管理云上容器资产及其安全风险。针对容器全生命周期构建更具效率的事前、事中、事后防护策略腾讯云容器安全服务从持续集成、持续部署和运行时进行安全防护。围绕事前资产风险识别、事中入侵防御、事后溯源取证等进行统一的安全管理,帮助用户快速梳理云上资产,快速提升容器安全运营效率。事前以识别核心资产及安全检测为起点。扫描镜像中的基础组件、脚本框架等存在的漏洞;容器、集群等在配置上存在的风险;以最小化原则,配
50、置容器网络隔离策略。通过识别资产风险和网络策略配置,提前推动关键资产安全整改,减小企业核心资产的攻击面。事中构建实时、持续感知的容器运行时入侵检测和入侵防御,避免企业资产失陷。事后针对入侵行为和恶意行为进行审计取证,溯源完整攻击链路,帮助客户梳理存在漏洞、配置不当的资产,收敛资产弱点。漏洞防御策略广域渗透漏洞防御是腾讯云容器安全为应对频发的0DAY、nDAY漏洞而开发的一套基于虚拟补丁的漏洞防御系统。该系统融合了腾讯前沿的漏洞挖掘技术、实时高危漏洞预警技术,捕捉、分析0DAY漏洞,结合腾讯专家知识,生成虚拟补丁,自动在云主机上生效虚拟补丁,有效拦截黑客攻击行为,为客户修复漏洞争取时间。挖掘海量
浙ICP备2021020529号-1 | 浙B2-20240490 
